Yahoo, yazılımındaki bir kusuru düzeltti Posta hizmeti Bu, aynı hatanın açıklanmasından ve yamalanmasından yaklaşık bir yıl sonra bilgisayar korsanlarının kullanıcı e-postalarını dinlemesine izin verebilirdi. Finlandiya'dan Jouko Pynnonen, Yahoo'nun geçen ay düzelttiği yeni güvenlik açığını açıkladığı için Yahoo'dan 10.000 dolar aldı.
Kusur, bir saldırgana bir kullanıcının e-postasını okuma veya Yahoo Mail hesaplarına bulaşmak için bir virüs oluşturma izni veren bir siteler arası komut dosyası saldırısıyla ilgiliydi. Pynnonen, bir kullanıcının hatanın çalışması için bir saldırgandan gelen e-postayı görüntülemesi gerektiğini açıkladı.
Hata, Pynnonen'in geçen yıl keşfettiği ve bilgisayar korsanlarına bir Yahoo Mail hesabının tam kontrolünü verebilecek eski bir Yahoo Mail kusuruna benziyordu.
Yahoo filtrelerindeki eksiklikler
Pynnonen, en son güvenlik açığının suçlusu olarak Yahoo'nun HTML mesajları filtresindeki bir eksikliği gösterdi. Filtre, kullanıcının tarayıcısından gelen kötü amaçlı kodu engellemek için çalışır. Araştırmacıya göre, filtre tüm kötü niyetli veri özniteliklerini yakalayamadı. Bir bilgisayar korsanı, yalnızca kurbana özel bir e-posta göndererek kötü amaçlı JavaScript çalıştırabilir.
Araştırmacı, çeşitli ek seçeneklerinin dikkatini temel HTML filtrelemedeki olası hataya çektiği e-posta oluşturma görünümündeki kusuru keşfetti. Pynnonen daha sonra çeşitli ekleri olan bir e-posta oluşturdu ve mesajı harici bir posta kutusuna gönderdi. muayene ettikten sonra çiğ E-postada yer alan HTML, bazı kötü niyetli özellikler dikkatini çekti.
“Gözümü yakalayan, data-* HTML özellikleriydi. İlk olarak, Yahoo'nun filtresinin izin verdiği HTML özelliklerini sıralamak için geçen yılki çabamın hepsini yakalamadığını fark ettim."
Pynnonen, Yahoo'nun HTML filtresinden geçecek birkaç HTML özelliği yerleştirmenin mümkün olduğunu düşündü. Kötüye kullanım amaçlı data-* özelliklerine sahip bir e-posta yazdıktan sonra sonunda patolojik bir vaka buldu.
Yahoo, karanlık ağda en az 200 milyon Mail hesabının satıldığını gösteren raporların ardından bu yılın başlarında ateş altındaydı.
Ayrıca okuyun:
- Yahoo hesabıyla Windows 10 Mail'de nasıl oturum açılır
- Windows 10 için Yahoo Mail uygulaması artık kişileri Microsoft People ile senkronize ediyor
